Киберпреступники используют смарт-контракты в сети BNB Chain для сокрытия и распространения вредоносного ПО, обнаружили эксперты Guardio Labs.
🚨 Guardio Labs exposes "EtherHiding" - a new threat hiding in Binance's Smart Chain, a technique that evades detection, targeting compromised WordPress sites. Read about this game-changing method! @BNBCHAIN #BNBChain #CyberSecurity https://t.co/alNI5KqKUO— Guardio (@GuardioSecurity) October 15, 2023
Исследователи рассказали в отчете о технике взлома под названием EtherHiding. Атака включает в себя компрометацию веб-сайтов на движке WordPress путем внедрения кода JavaScript, который далее извлекает полезную нагрузку из контрактов на блокчейне.
Это является модифицированным методом ранее обнаруженной кампании ClearFake. Злоумышленники размещали код для второго этапа атаки на Cloudflare Workers, но американская компания начала блокировать аккаунты, потенциально препятствуя попыткам взлома.
Хакеры задействовали Web3-инфраструктуру от поддерживаемой Binance сети BNB Chain. Это обеспечило им практически бесплатный, «по-настоящему пуленепробиваемый хостинг, поддерживаемый блокчейном», подчеркнули исследователи.
Злоумышленники легко и дешево могут менять код и, соответственно, вектор атаки по своему усмотрению.
В одном из обнаруженных экспертами методов, жертвам предлагается обновить браузер для доступа к запрошенному контенту. При переходе по ссылке пользователь загружает вредоносное ПО, заражая компьютер с контролируемого хакерами домена.
Примеры предложений обновления для популярных браузеров от хакеров. Данные: Guardio Labs.
Злоумышленники имеют возможность модифицировать цепочку атаки, изменяя смарт-контракт одной блокчейн-транзакцией, стоимость которой составляет примерно от $0,2 до $0,6.
Пример постоянно модифицируемого хакерами контракта на BNB Chain. Данные: Guardio Labs.
Эксперты отметили, что после развертывания в сети контракты работают автономно, и все, что могут разработчики BNB Chain — это маркировать их как вредоносные. Однако очевидно, что на сегодня нет способа остановить этот путь распространения хакерами своего ПО, подчеркнули эксперты.
Пример маркировки вредоносных контрактов. Данные: Guardio Labs.
По их словам, сайты на WordPress служат основным шлюзом для подобных атак. Эксперты рекомендовали владельцам принимать все возможные меры предосторожности, регулярно обновляя плагины, меняя пароли и просто «следя за тем, что происходит на сайте».
Исследователи отметили, что использование блокчейна ставит новые проблемы для предотвращения распространения вредоносного ПО, исключая традиционную блокировку провайдером.
«Хотя Web 3.0 предвещает инновации, злоумышленники постоянно адаптируются, используя его преимущества для гнусных целей. Что касается Binance, мы не можем их винить, поскольку данные бесплатны для всех, и каждый может проверить и обнаружить опасность», — заключили эксперты.
Напомним, в сентябре хакеры атаковали российских клиентов Binance через фишинговую рассылку приложений для обхода ограничений по P2P-торговле.
